Il y a trois problèmes potentiels que je vois (contrairement à l'autre réponse, je ne vois rien qui pourrait provoquer une "boucle" même dans la version non éditée de votre question).
- Le transfert IP doit être activé.
- Après avoir été natté et replacé sur le réseau, le paquet peut être victime du filtrage de l'adresse source car il ressemble beaucoup à un paquet usurpé.
- Les réponses aux paquets qui passent par un NAT doivent passer par le même NAT pour que la traduction inverse puisse être effectuée. Sinon, le client recevra une réponse avec la mauvaise adresse IP/port source qu'il est susceptible de supprimer (s'il n'a pas déjà été supprimé par le filtrage de chemin inverse).
Vous pouvez contourner les points 2 et 3 en utilisant une règle SNAT ou MASQURADE en plus du DNAT, mais si vous faites cela, vous perdez l'IP source d'origine du trafic. Cela rendra le contrôle des abus très difficile.
Une autre solution aux points 2 et 3 serait de mettre en place un VPN entre les deux serveurs. Utilisez ensuite DNAT pour transférer le trafic via le VPN et le routage basé sur l'IP source pour ramener les réponses au NAT.